卡巴斯基公布鎖定iMessage的Operation Triangulation複雜攻擊鏈細節

資安業者卡巴斯基（Kaspersky）在今年6月揭露了一個以iOS裝置為目標的攻擊行動Operation Triangulation，當時僅說駭客可藉由傳送一個帶有附件的iMessage訊息予受害者，就能觸發遠端程式攻擊漏洞，並未公布漏洞細節，但本周卡巴斯基公開了Operation Triangulation所使用的4個零時差漏洞，還說這是他們自蘋果、微軟、Adobe及Google等產品中所發現的逾30個零時差漏洞中，所見過最複雜的攻擊鏈，其中的CVE-2023-38606到底是如何被濫用的，迄今仍是個謎團。

Operation Triangulation利用了4個零時差漏洞，分別是位於FontParser中的遠端程式攻擊漏洞CVE-2023-41990，核心中的整數溢位漏洞CVE-2023-32434，核心中的可用來繞過頁面保護層的CVE-2023-38606漏洞，以及存在於WebKit中可造成任意程式執行的記憶體毀損漏洞CVE-2023-32435。

值得注意的是，卡巴斯基發現Operation Triangulation最古老的感染痕跡發生在2019年，所適用的最新iOS版本為 iOS 16.2，而蘋果一直到今年6月才修補它們，意謂著駭客早已偷偷滲透iMessage超過4年。

分析顯示，駭客先是藉由傳送惡意的iMessage附件來利用CVE-2023-41990漏洞，以執行一個以JavaScript撰寫的權限擴張攻擊程式，接著再利用CVE-2023-32434 漏洞取得記憶體的讀寫權限，再以CVE-2023-38606漏洞繞過頁面保護層（Page Protection Layer），在成功攻擊上述3個漏洞之後，駭客即可對裝置執行任何操作，包括執行間諜軟體，然而，駭客卻選擇了注入一個酬載，並清除所有攻擊痕跡，再於隱形模式執行了一個Safari程序，以驗證受害者，檢查通過之後才繼續利用下一個位於WebKit中的CVE-2023-32435漏洞以執行Shellcode，接著駭客即重複透過先前的漏洞來載入惡意程式。

這除了是卡巴斯基團隊所見過的最複雜的攻擊鏈之外，即使該團隊研究Operation Triangulation已有數月之久，但仍無法解開有關CVE-2023-38606漏洞的謎團。

研究人員解釋，最近的iPhone針對核心記憶體的敏感區域採用了基於硬體的安全保護，以讓駭客就算能夠讀寫核心記憶體，也無法控制整個裝置，然而，CVE-2023-38606漏洞的存在是因為駭客利用了蘋果系統單晶片上的另一個硬體功能來繞過此一基於硬體的安全保護。

具體而言，當駭客將資料、位址及資料雜湊寫入該晶片上未被韌體使用的硬體暫存器時，就能在寫入資料至特定的位址時，繞過基於硬體的記憶體保護。因為相關的硬體暫存器並未受到韌體的監管或保護。

研究人員的疑惑在於，此一硬體功能從何而來？如果蘋果的韌體都未使用它，駭客又如何得知怎麼操控它？最可能的解釋是它可能是工廠或蘋果工程師用來測試或除錯的，或許先前曾不小心出現在韌體中，之後又被移除。

卡巴斯基認為，CVE-2023-38606漏洞彰顯了一件事，這些基於硬體的先進保護機制，只要有硬體功能得以繞過，在面臨尖端駭客時也是沒用的。此外，硬體安全往往仰賴於隱蔽的安全，使得它的逆向工程比軟體更難，但這是一種有缺陷的方式，因為所有的秘密遲早都會被揭露，藉由隱蔽所實現的安全永遠不可能真正安全。